PcPrimiPassi.it - informatica facile per tutti, home page
PcPrimiPassi.it - informatica facile per tutti, home page



Infezioni informatiche e Sicurezza informatica in generale

 PcPrimiPassi.it FORUMSICUREZZA INFORMATICAInfezioni informatiche e Sicurezza informatica in generale


Icona di Messaggio RISOLTO!

Topic: [RISOLTO] virus VUNDO sul file ckvo0.dll

(Topic Chiuso Topic Chiuso)
Altre pagine della discussione:




Krool
Principiante Principiante
Krool
Principiante Principiante
Krool
Principiante
Principiante

Avatar


Iscritto dal : 04/Luglio/2007
Da: Italy
Status: Offline
Posts: 113
bullet Topic: Post n° 84.713 - Postato: 09/Novembre/2008 alle 17:59


Salve a tutti,
Spero che qualcuno di voi possa darmi una mano. Purtroppo il mio pc è stato infettato dal virus Vundo che sembra essere localizzato nel file C/windows/System32/ckvo0.dll. Ho provato ad utilizzare i vari removal tools indicati per il suddetto virus ma finora non ho avuto alcun successo. Nel momento in cui avvio il pc il mio antivirus (avira Antivir) mi individua il file infetto ma anche se gli chiedo di eliminarlo o metterlo in quarantena, nel momento in cui riavvio il pc si ripresenta puntuale. Ho provato allora ad utilizzare VundoFix, e i tools della Symantec: FxVMonde e FixVundo. Il problema è che se faccio partire la scansione con il mio antivirus attivo, nel momento in cui la scansione raggiunge il file infetto, si blocca e subentra il mio antivirus che mi chiede cosa fare e qualunque cosa io faccia (elimina, metti in quarantena o ignora) la scansione con i tools indicati prosegue ed alla fine non da alcun risultato (nessun file infetto individuato)... se invece disattivo il mio antivirus prima di far partire la scansione con i suddetti tools, la scansione giunge al termine senza individuare alcun file infetto.
Spero che qualcuno di voi sia in grado di darmi una mano. Vi ringrazio in anticipo.


RAVEN
Moderatore Moderatore
RAVEN
Moderatore Moderatore
RAVEN
Moderatore
Moderatore

Avatar


Iscritto dal : 04/Settembre/2001
Da: Italy
Status: Offline
Posts: 16.197
bullet Topic: Post n° 84.717 - Postato: 09/Novembre/2008 alle 19:00


Prova a vedere se questo non l'hai già utilizzato
 
 
Altrimenti prova a far passare il tuo antivirus e successivamente il fix con il sistema avviato in modalità provvisoria...



Stefano Ravagni - 'tanto prima o poi ti buco!'...disse il baco alla noce

SOSTIENICI



Krool
Principiante Principiante
Krool
Principiante Principiante
Krool
Principiante
Principiante

Avatar


Iscritto dal : 04/Luglio/2007
Da: Italy
Status: Offline
Posts: 113
bullet Topic: Post n° 84.721 - Postato: 10/Novembre/2008 alle 00:26


Ciao, grazie per la risposta.
Ho provato a fare quello che mi suggerisci... Con il pc avviato in modalità provvisoria ho fatto partire FixVundo e VundoFix ma nessuno dei due mi ha individuato il trojan. Ho fatto poi partire il mio antivirus e mi ha rilevato ancora una volta il fastidioso trojan nel file indicato chiedendomi cosa fare. Ho provato a cancellarlo ma dice che il file è bloccato e che verrà cancellato solo dopo aver riavviato il pc ma dopo averlo riavviato lo ritrovo sempre li puntualmente. Cosa posso fare? Grazie per l'aiuto.


prgn
Esperto Esperto
prgn
Esperto Esperto
prgn
Esperto
Esperto

Avatar


Iscritto dal : 29/Marzo/2007
Da: Italy
Status: Offline
Posts: 4.295
bullet Topic: Post n° 84.722 - Postato: 10/Novembre/2008 alle 11:47


I tool non vanno... con questo qui...
fai una scansione con gmer e poi con hijackthis... ed incolla i log prodotti...
Per la scansione di gmer... lo fai partire... e poi, senza toccare nulla... (in quanto
già dovrebbe apparirti nella cartella rootkit... pronto alla scansione...) clicca
su scan...

Dicci se ti ha dato avvisi di presenza rootkit... e le eventuali voci indicate in rosso...
per incollare il log..., alla fine della scansione..., clicca sul tasto copy di gmer...
e poi.. clicca in blocco note... ed incolla quello che hai copiato prima...
ed incolla il log in un post di questa discussione...

Adesso scarica combofix e copiati le istruizioni che trovi nella stessa pagina...
e fai riavviare il pc in modalità provvisoria...

(le indicazioni su come fare... le trovi nella seguente discussione:
REGOLA : LEGGERE Prima di postare un LOG)

Dopo di che... vai in risorse del computer... vai nel menù della finestra...
ed in strumenti vai in opzioni cartella...
In opzioni cartella... vai in visualizzazione... e seleziona la seguente voce:

- Visualizza cartelle e file nascosti;

ed invece... elimina la selezione (la spunta) dalle seguenti voci:

- Nascondi i file protetti di sistema;
- Nascondi le estensioni per i tipi i file conosciuti.

Fatto questo... Ok ed Applica...

Adesso vai in risorse del computer e segui alla lettera le mie indicazioni...

Per ogni disco/partizione... clicca con il tasto destro del mouse... e scegli esplora...
(per via delle impostazioni che abbiamo apportate... vedrai tutto il contenuto)
cerca il file autorun.inf e trascinalo.. (mi raccomando.. non farci doppio click sopra...)
trascinalo in blocco note per vederne il contenuto... ed incolla poi il contenuto
in un post....

Il contenuto sarà tipo:
Segue del testo riportato...

[Autorun]
open=File_Infetto.exe
shellexecute=File_Infetto.exe
shell\Auto\command=File_Infetto.exe

Fine testo riportato...
Un file del genere non dovrebbe stare nella root del tuo hdd o partizione...
al posto della voce in rosso vedrai il nome di un file eseguibile... che è un malware
(che di solito si trova nella stessa posizione del file autorun.inf...)

Allora... cerca l'eseguibile in questione... selezionalo e tenendo premuto
il tasto shift (quello delle maiuscole) premi sul tasto canc...
La stessa cosa fai con il file autorun.inf...
E ripeto.. fai le stesse cose per ogni disco/partizione che hai sul tuo pc...
(entrandoci sempre... senza farci doppio click... ma cliccando con il tasto
destro... e scegliendo esplora...)

Ok.. adesso fai la scansione con combofix seguendo le indicazione che trovi nella pagina
che ti ho linkato...  ed incolla il log in un post...

Dopo aver fatto questo... fai partire lo scan con avira antivir aggiornato...
apportando le seguenti impostazioni:

- fai doppio click sull'icona dell'ombrellino... in modo che si apra il programma...;
- clicca su Configuration;
- e nella sezione scan... metti il pallino su All files... e clicca su ok e fai partire lo scan...

(in questo modo scansioni tutti i files a prescindere dal tipo...)
Elimina tutti i file considerati malware...

Dopo di questo non è finita ancora... facci sapere come è andata...
e nel frattempo non usare penne usb... hdd esterni... macchinette fotografiche...
lettori mp3... ecc ecc... sul pc infetto..
(e naturalmente.. quelle che hai potrebbero essere infette... e non vanno
messe su altri pc... se non dopo un controllo.. ed eventuale pulizia...)

Altra cosa importante... se giochi con giochi online... questo malware potrebbe
rubarti i dati dell'account...
facci sapere..
Ciao


Modificato da prgn - 11/Novembre/2008 alle 16:35



SALVIAMO I NEUTRINI DAL TUNNEL! Sottoscrivi anche tu la petizione...



Krool
Principiante Principiante
Krool
Principiante Principiante
Krool
Principiante
Principiante

Avatar


Iscritto dal : 04/Luglio/2007
Da: Italy
Status: Offline
Posts: 113
bullet Topic: Post n° 84.725 - Postato: 10/Novembre/2008 alle 15:18


Ok... ora ho capito come ho beccato il virus. L'ho furbescamente portato a casa dall'uffico portando via alcuni documenti sulla mia pen-drive (grazie per il consiglio di evitare di utilizzarla ancora altrimenti avrei infettato anche il portatile).
Wow, la procedura sembra piuttosto complicata, almeno per uno come me totalmente ignorante in materia. Volevo ringraziarti prima di cominciare, nel caso in cui dovessi incasinare tutto. Ti farò sapere come è andata. Ciao e grazie ancora.


prgn
Esperto Esperto
prgn
Esperto Esperto
prgn
Esperto
Esperto

Avatar


Iscritto dal : 29/Marzo/2007
Da: Italy
Status: Offline
Posts: 4.295
bullet Topic: Post n° 84.727 - Postato: 10/Novembre/2008 alle 15:26


Si.. ma non è tutto... mi son buttato su combofix sperando di tagliargli un po'
le gambe... poi passimo alla pulizia più in particolare.. ;)



SALVIAMO I NEUTRINI DAL TUNNEL! Sottoscrivi anche tu la petizione...



Krool
Principiante Principiante
Krool
Principiante Principiante
Krool
Principiante
Principiante

Avatar


Iscritto dal : 04/Luglio/2007
Da: Italy
Status: Offline
Posts: 113
bullet Topic: Post n° 84.734 - Postato: 10/Novembre/2008 alle 17:32


Ok... Dunque.... Ho fatto la scansione con Gmer e Hijakthis e provvedo ad allegare i rispettivi logs...

Gmer

GMER 1.0.14.14536 - http://www.gmer.net
Rootkit scan 2008-11-10 17:17:22
Windows 5.1.2600 Service Pack 2


***** Log editato... nessu voce sospetta *****


---- EOF - GMER 1.0.14 ----


Hijackthis:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17.21.52, on 10/11/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16473)
Boot mode: Normal

O4 - HKCU\..\Run: [kamsoft] C:\WINDOWS\system32\ckvo.exe


***** Log editato... è rimasta solo la voce infetta *****

End of file - 8532 bytes



Modificato da prgn - 13/Novembre/2008 alle 18:42


Krool
Principiante Principiante
Krool
Principiante Principiante
Krool
Principiante
Principiante

Avatar


Iscritto dal : 04/Luglio/2007
Da: Italy
Status: Offline
Posts: 113
bullet Topic: Post n° 84.736 - Postato: 10/Novembre/2008 alle 17:38


Continuando a seguire le tue istruzioni ho purtroppo scoperto che non riesco a visualizzare i file nascosti. Spuntando la voce "visualizza cartelle e file nascosti" e poi cliccando so applica ed ok non succede assolutamente niente e ritornandovi risulta non spuntato... anche ripetendo più volte la stessa operazione non ottengo altri risultati.


prgn
Esperto Esperto
prgn
Esperto Esperto
prgn
Esperto
Esperto

Avatar


Iscritto dal : 29/Marzo/2007
Da: Italy
Status: Offline
Posts: 4.295
bullet Topic: Post n° 84.751 - Postato: 11/Novembre/2008 alle 12:14


Scusa... pigliamo ancora meglio la mira...
allora.. mi son dimenticato di dirti di eliminare il ripristino configurazione di sistema...
(le indicazioni su come fare le pigli da qua: REGOLA : LEGGERE Prima di postare un LOG)

Comunque procediamo per gradi...
Allora... elimina il ripristino configurazione di sistema...
Poi.. copia quello che ti indico nella seguente casella:
Segue del testo riportato...

echo off
cls
echo Indica i file in root ed il contenuto del file autorun.inf
echo Il tutto viene copiato nel file text.txt che viene creato sul desktop
echo Per funzionare correttamente.. questo file deve essere copiato nella root del
echo disco, per esempio.. se si ha solo C, si deve copiare nella posizione C:\
echo Le informazioni lette verranno salvate in text.txt seguendo questo ordine:
echo -
echo - file non nascosti;
echo - file con attributi restrittivi;
echo - contenuto di autorun.inf.
echo -
echo Il file va copiato nella root di ogni disco/partizione che si vuole controllare..
echo le informazioni che vengono salvate in text.txt vengono aggiunte a quelle
echo precedentemente salvate..
echo -
echo Premere Ctrl+C per uscire e non controllare il disco . . .
pause
dir >> "%userprofile%\desktop\text.txt"
dir /ar >> "%userprofile%\desktop\text.txt"
type autorun.inf >> "%userprofile%\desktop\text.txt"
cls
echo *** Operazione conclusa... Informazioni aggiunte in text.txt ***
echo -
echo -
pause
echo on

Fine testo riportato...
Dopo aver selezionato e copiato... incolla il tutto in un file
di testo... (per i più tecnici un file ascii che puoi creare con blocco note)
e salvalo andando nel menù File -> salva con nome... e dandogli un nome
con estensione .bat (e non txt come viene suggerito dal programma)
In pratica il file con questa estensione avrà la seguente icona:

                          

e non quella dei normali file di testo...

Una volta salvato..., copialo in ogni disco/partizione che hai sul tuo pc...
nella posizione root (in pratica... se hai il disco C, il file lo devi copiare nella
posizione C:\) quindi nel disco.. ma fuori da ogni cartella... per intenderci...

Il file si occupa di indicare il contenuto della root del disco... ed il contenuto
dell'eventuale autorun.inf, ed il tutto nel seguente ordine:

- file non nascosti;
- file con attributi restrittivi;
- contenuto file aurorun.ini.

Il tutto viene salvato in un file di testo (text.txt) che viene salvato sul desktop
dell'utente corrente...
Ogni volta che lanci il file... il tutto viene accodato sul file text.txt... senza
cancellare le precedenti rilevazioni...

Quindi.. come ti dicevo... portalo nella root di  in ogni disco/partizione... e facci
doppio click sopra...
Alla fine di tutto... apri il file di testo text.txt... e copia il contenuto in un post...
(naturalmente.. per una questione di privacy... cancella il nome dei file
personali che il programma ha rilevato... anche perchè non ci servono...)
ed inviacelo...

Adesso scarica avenger poi vai a questa pagina: http://mihd.net/dl
e clicca su: Request ticket  (devi avere gli script attivati.. altrimenti non te lo da...)
e poi su Download per scaricare il file unhide.reg
Scaricalo e tienilo in vista sul desktop.

Fai riavviare in modalità provvisoria... fai doppio clic sul file che hai appena scaricato...
(adesso dovrebbe darti la possibiltà di impostare la visione dei file nascosti
e di sistema)

Fai partire (sempre da modalità provvisoria) hijackthis e fixa la seguente voce:

O4 - HKCU\..\Run: [kamsoft] C:\WINDOWS\system32\ckvo.exe

(metti la spunta... e cliccai su Fix...)

Adesso estrai il file di  avenger (sempre da modalità provvisoria) dalla cartella
compressa, fallo partire e copia il seguente script:
Segue del testo riportato...

Files to delete:
C:\windows\system32\ckvo.exe
C:\windows\system32\ckvo0.dll
C:\windows\system32\ckvo1.dll
C:\windows\system32\ckvo2.dll
C:\windows\system32\klif.sys
C:\autorun.inf
Folders to delete:
%temp%

Fine testo riportato...
... nella casella bianca... della finestra del programma...
e clicca su execute...

Il pc verrà riavviato... ed i file verranno cancellati e messi in un archivio protetto
da password... (infected)

Posta il log di avenger... ed il contenuto di text.txt... e vediamo se c'è altro da fare...
(di sicuro hai ancora qualche file da cancellare... e da pulire eventuali dischi...
quindi occhio a cliccare sui dischi... ed a inserire memorie esterne per adesso...)

Dopo di questo.. ti dico che altro fare...

Ciao

PS: il tuo sistema è XP Home o Professional?


Modificato da prgn - 11/Novembre/2008 alle 16:36



SALVIAMO I NEUTRINI DAL TUNNEL! Sottoscrivi anche tu la petizione...



Krool
Principiante Principiante
Krool
Principiante Principiante
Krool
Principiante
Principiante

Avatar


Iscritto dal : 04/Luglio/2007
Da: Italy
Status: Offline
Posts: 113
bullet Topic: Post n° 84.757 - Postato: 11/Novembre/2008 alle 20:28


Ciao...
dunque... ieri sera dopo aver postato il mio ultimo commento ho fatto fare la scansione con combofix e mi ha individuato ed eliminato diversi files (ho provato a postare un nuovo commento per fartelo presente ma la connessione internet era momentaneamente andata). Ha cancellato ckvo0.dll ed anche un ckvo0.exe che tuttavia non avevo mai visto quindi penso che fosse un file nascosto. Dopo la scansione ho fatto ripartire il pc e come mi hai indicato ho fatto fare una nuova scansione con il mio antivirus con la configurazione da te indicatami... mi ha individuato 2 o 3 file infetti (tra cui ancora ckvo0.dll anche se in un altra cartella). Ho eliminato tutto come da te indicatomi. Non so se posso considerare il problema risolto... tuttavia il mio antivirus non mi segnala più la presenza di questo trojan e quindi mi evita il fastidio di vedermelo segnalato ogni volta che apro una nuova cartella, come succedeva precedentemente.
Ho notato che è stata creata una nuova cartella chiamata QooBox... non so se posso eliminarne il contenuto o meno quindi ho preferito aspettara e chiedere.
Pensi che il problema sia risolto? O c'è ancora dell'altro da fare? A proposito... ora mi permette nuovamente di visionare i file nascosti.
Aspetto tue notizie... nel frattempo di ringrazio di cuore per l'aiuto che mi hai dato.
Ciao


Altre pagine della discussione:






Vai al Forum
Non puoi postare nuovi topic in questo forum
Non puoi rispondere ai topic in questo forum
Non puoi cancellare i tuoi post in questo forum
Non puoi modificare i tuoi post in questo forum
Non puoi creare sondaggi in questo forum
Non puoi votare i sondaggi in questo forum

Bulletin Board Software by Web Wiz Forums version PcPrimiPassi
Copyright ©2001-2006 Web Wiz Guide

Questa pagina è stata generata in 0,055 secondi.

Sostienici

Versione 5.7 Sviluppata da Stefano Ravagni